Архив форумов ЦИТФорума

[shalunts]

здрасте.
на файрволе ISA Server 2004 в разделе alerts среднем раз в 5 минут дает следующее сообщение:
Description: ISA Server detected an all port scan attack from Internet Protocol (IP) address 192.xxx.xx.xxx.
на whois пояснили кого ip принадлежит и связались с ними и представили проблему, отправили лог.
сказали посмотрят.
через день получили ответ, что "По представленным логам ничего определить невозможно. Указанный адрес является нашим web-сервером и сканировать с него никто не должен.".
а алерты продолжаются.

у кого то было подобное?
может вирус какой то у них на сервере что сеть сканирует?
но если файрвол надежен может вообще не надо волноваться по таким "пустякам"?
спасибо.
_________________
|casus bell|

[and3008]

Ну попроси прислать результат netstat с ихнего сервера.
Наверно они сами удивятся числу исходящих соединений.

Атака может быть, если WEB-сервер заражен. Особенно если на сервере движок от какой-нибудь приснопамятной Мамбы.

[and3008]

Еще вариант. Попроси своего провайдера заблокировать входящие подключение к тебе с этого IP-адреса.
Обоснование: Лог-файлы твоего FireWall-а и нежелание платить за входящий трафик с этого сервера. Официальное письмо и подпись директора.

Обычно это работает отравляюще для владельцев WEB-ресурсов. На худой конец избавишься от своей проблемы со сканированием.

[shalunts]

and3008 спасибо
_________________
|casus bell|